ACERAの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する（UNIFASクラウド管理）

今回は株式会社フルノシステムズ様にご協力いただき、無線アクセスポイントのACERAをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。

本記事では下記テーマについて検証レポートをまとめておりますので、これからACERAの導入をお考えの方や、クラウドRADIUSによるEAP-TLS（クライアント証明書認証）にご関心がある方はぜひ最後までご覧ください。

検証テーマ

• ACERAの無線認証にSecureW2のRADIUSサーバーを利用する
• SecureW2によるユーザーに応じたネットワークの動的制御（Dynamic VLAN）を実現する

ACERAのご紹介

今回は無線アクセスポイントのACERA1320をお借りして動作検証を行いました。機器の詳細はフルノシステムズ様の製品情報をご参照ください。

ACERA1320は、中〜大規模環境での利用を想定したハイパフォーマンスモデルとして開発されており、高密度接続や安定した通信品質が求められる環境に最適なアクセスポイントです。ローカル管理での運用とクラウド一括管理システムであるUNIFASを利用した運用のいずれにも対応しているため、小規模な構成から導入し、必要に応じて段階的に拡張していくことが可能です。
UNIFASを導入することで、クラウドまたはオンプレミス型のコントローラとして機能し、最大3000台までのACERAアクセスポイントを一元的に管理・制御することが可能です。これにより、拠点数の増加や利用端末の増大といった将来的な環境変化にも柔軟に対応でき、運用負荷を最小限に抑えたスケーラブルなネットワーク設計を実現します。また、日本メーカーならではの強みとして、管理画面やマニュアル、サポート対応がすべて日本語で提供されている点も安心材料の一つです。加えて、-10℃〜55℃の広い動作温度範囲に対応した堅牢設計となっており、オフィスビルだけでなく、工場や物流倉庫などの比較的過酷な環境にも設置できる点は、ACERA1320の大きな利点と言えるでしょう。

ローカル管理環境下のACERA1310を用いた動作検証

本記事ではUNIFASを用いたACERAアクセスポイントの一元管理をご紹介しています。 ローカル管理環境下でACERA1310の802.1X無線認証にクラウドRADIUSを利用する検証については、以下をご覧ください。

ACERAの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する

前提条件

今回の検証では、以下の項目を前提条件としています。

• SecureW2の管理者アカウントをお持ちであること
• UNIFASクラウドの管理者アカウントをお持ちであること
• クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
• SecureW2のネットワークポリシーが作成済みであること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

EAP-TLS認証の流れは次のとおりです。

1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
2. アクセスポイントがユーザーにクライアント証明書の提示を要求
3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返します
6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否します

※VLAN IDなどのRADIUS属性やベンダー固有属性（VSA）は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業概要

主な作業内容は、ACERAとSecureW2でそれぞれ次の通りです。

基本的なACERAとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。認証に加えて認可でもRADIUSを利用したい場合は、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

基本的なACERAのSSID設定

SecureW2のクラウドRADIUSをACERAの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報（IPアドレス、ポート番号、シークレット）を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

1. UNIFASクラウドのログイン画面を開き、ログインします。

   

2. SSIDを作成するため、セキュリティグループ管理 > セキュリティグループ設定 をクリックします。

   

3. セキュリティグループの追加 をクリックします。

   

4. 以下の画像のように設定します。

   

5. RADIUSサーバーの設定を行います。最初に控えたSecureW2の管理画面の情報をもとに以下の画像に従って設定し、最後に 追加 をクリックしてください。

   

6. セキュリティグループの追加が確認できたらSSIDの追加は完了です。

   

7. 次は作成したSSIDをACERAに適用します。アクセスポイント管理 > アクセスポイント設定 をクリックします。

   

8. アクセスポイント名をクリックします。（例：AP01）

   

9. アクセスポイント更新を行います。画面右の 編集ボタン をクリックします。

   

10. 下の画像のように SSIDの追加 を行います。

    

11. 変更 をクリックして、アクセスポイント設定の更新を終了します。

    

12. アクセスポイント更新が完了したら、ACERAへのSSIDの適用は完了です。

    

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLogin、Okta、Microsoft Entra IDなどのIDaaSと連携するDynamic RADIUSを併用することで、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

1. SecureW2 Management Portal（管理コンソール）の Policy Management > Network から Add Network Policy をクリックします。

   

2. ポリシーの名前を入力し、Save をクリックします。

   

3. Conditionsタブに移動し、Add rule をクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。

   

4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
   CertificateからCommon Nameを選択して Save をクリックします。画面上部に「'Certificate Common Name' selected」と表示されれば成功です。

   

5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、無線認証時に提示する証明書のCommon Nameを設定します。
   変数の値を設定できたら、Update をクリックします。

   

6. Settingsタブに移動し、Add Attribute をクリックします。この画面で使用するRADIUS属性の設定を行います。

   

7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。

   Radius:IETFの属性(Attribute:)	値(Value:)	説明
   Tunnel-Type	13	VLAN（固定値）
   Tunnel-Medium-Type	6	IEEE-802（固定値）
   Tunnel-Private-Group-ID	任意のVLAN-ID（1-4094）	認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID （例：100, 200）

   

8. 画像のように設定できたら、Update をクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。

   

9. 今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。

   

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM（モバイルデバイス管理）製品とSecureW2を連携しておくと、これらも自動化することができます。

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。

   

2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。

   

3. 以下のようなウィンドウが表示されたら、続けるをクリックします。

   

4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。

   

5. 作成した無線LANへの接続ができたことが確認できました。

   

6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
   今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。

   

   

   WiresharkからもVLAN IDが正常に割り当てられていることを確認できました。
   "example@pentio.com"というユーザーがネットワークに参加する場合はVLAN＝100
   "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN＝200に所属させていることがわかります。

   

   

おわりに

本記事では、ACERA1320をクラウド管理システム「UNIFAS」で運用する構成において、SecureW2のクラウドRADIUSを利用したIEEE802.1X（EAP-TLS）無線認証および、ユーザー属性に応じたDynamic VLAN制御を検証しました。

UNIFASを利用したクラウド管理構成では、アクセスポイントやSSIDの設定、RADIUSサーバーの参照先といった無線LANの基本設定をクラウド上で一元的に管理できるため、拠点数やアクセスポイント台数が増加した場合でも、設定作業や運用負荷を大きく増やすことなく展開が可能です。SecureW2も物理アプライアンスの設置を必要としないクラウド型RADIUSサービスであり、UNIFASと組み合わせることで、無線LANの認証基盤を含めたネットワーク管理をクラウドに集約する構成を実現できます。

また、SecureW2から返却されるRADIUS属性を活用することで、ユーザーや証明書の属性に応じたVLANの動的割り当てが可能となり、SSIDを分けることなくネットワーク分離やアクセス制御を行える点も大きな特長です。これにより、運用のシンプルさとセキュリティレベルの両立が求められる環境において、柔軟なネットワーク設計が可能となります。

ACERAとSecureW2はいずれもミニマムスタートが可能な製品であり、小規模拠点から導入し、拠点や端末の増加に応じて段階的に拡張していくことができます。中規模拠点やサテライトオフィス、複数拠点を展開する組織において、無線LANの認証基盤やネットワーク管理をクラウドで統一したい場合、この2製品の組み合わせは有効な選択肢となるでしょう。以上で、「ACERAの802.1X無線認証にクラウドRADIUS（SecureW2）を利用する（UNIFASクラウド管理編）」の検証レポートを終わります。